攻撃面の縮小ルールリファレンス

適用対象:

プラットフォーム:

  • Windows

この記事では、Microsoft Defender for Endpoint攻撃面の縮小規則 (ASR ルール) について説明します。

重要

この記事の一部の情報は、市販される前に大幅に変更される可能性があるプレリリース製品に関するものです。 Microsoft は、ここで提供されるいかなる情報に関して、明示または黙示を問わず、いかなる保証も行いません。

ヒント

この記事のコンパニオンとして、Microsoft Defender for Endpointセットアップ ガイドを参照してベスト プラクティスを確認し、攻撃面の縮小や次世代保護などの重要なツールについて学習します。 環境に基づいてカスタマイズされたエクスペリエンスを実現するには、Microsoft 365 管理センターの Defender for Endpoint 自動セットアップ ガイドにアクセスできます。

種類別の攻撃面の縮小ルール

攻撃面の縮小ルールは、次の 2 種類のいずれかとして分類されます。

  • 標準保護規則: 他の ASR 規則の効果と構成のニーズを評価する際に、Microsoft が常に有効にすることをお勧めする規則の最小セットです。 通常、これらのルールはエンド ユーザーに対して最小限からまったく顕著な影響を及ぼしません。

  • その他のルール: 「攻撃面の縮小ルールの展開ガイド」に記載されているように、文書化された展開手順に従って何らかの手段を必要とするルール [Plan > Test (audit) > Enable (block/warn mode)]\(有効化(ブロック/警告モード\)\)

標準保護規則を有効にする最も簡単な方法については、「 簡易標準保護オプション」を参照してください。

ASR ルール名: 標準保護規則 その他のルール
悪用された脆弱な署名付きドライバーの悪用をブロックする はい
Adobe Reader による子プロセスの作成をブロックする はい
すべての Office アプリケーションが子プロセスを作成できないようにブロックする はい
Windows ローカル セキュリティ機関サブシステムからの資格情報の盗用をブロックする (lsass.exe) はい
電子メール クライアントと Web メールから実行可能なコンテンツをブロックする はい
有病率、年齢、または信頼されたリストの条件を満たしていない限り、実行可能ファイルの実行をブロックする はい
難読化される可能性のあるスクリプトの実行をブロックする はい
ダウンロードした実行可能コンテンツの起動を JavaScript または VBScript でブロックする はい
Office アプリケーションによる実行可能コンテンツの作成をブロックする はい
Office アプリケーションによるコードの他のプロセスへの挿入をブロックする はい
Office 通信アプリケーションによる子プロセスの作成をブロックする はい
WMI イベント サブスクリプションを使用して永続化をブロックする はい
PSExec および WMI コマンドからのプロセスの作成をブロックする はい
セーフ モードでのマシンの再起動をブロックする (プレビュー) はい
USB から実行される信頼されていないプロセスと署名されていないプロセスをブロックする はい
コピーまたは偽装されたシステム ツールの使用をブロックする (プレビュー) はい
サーバーの Web シェル作成をブロックする はい
Office マクロからの Win32 API 呼び出しをブロックする はい
ランサムウェアに対する高度な保護を使用する はい

Microsoft Defenderウイルス対策の除外と ASR 規則

Microsoft Defenderウイルス対策の除外は、攻撃面の縮小ルールなど、一部のMicrosoft Defender for Endpoint機能に適用されます。

次の ASR 規則では、Microsoft Defenderウイルス対策の除外は適用されません。

ASR ルール名:
Adobe Reader による子プロセスの作成をブロックする
PSExec および WMI コマンドからのプロセスの作成をブロックする
Windows ローカル セキュリティ機関サブシステムからの資格情報の盗用をブロックする (lsass.exe)
Office アプリケーションによる実行可能コンテンツの作成をブロックする
Office アプリケーションによるコードの他のプロセスへの挿入をブロックする
Office 通信アプリケーションによる子プロセスの作成をブロックする

注:

ルールごとの除外の構成の詳細については、「テスト攻撃面の縮小ルール」の「ルールごとの ASR ルールの除外の構成」のセクションを参照してください。

ASR ルールと Defender for Endpoint Indicators of Compromise (IOC)

次の ASR 規則では、Microsoft Defender for Endpoint侵害のインジケーター (IOC) は適用されません。

ASR ルール名 説明
Windows ローカル セキュリティ機関サブシステムからの資格情報の盗用をブロックする (lsass.exe) ファイルまたは証明書に対する侵害のインジケーターを受け入れない。
Office アプリケーションによるコードの他のプロセスへの挿入をブロックする ファイルまたは証明書に対する侵害のインジケーターを受け入れない。
Office マクロからの Win32 API 呼び出しをブロックする 証明書の侵害のインジケーターは考慮されません。

ASR ルールでサポートされているオペレーティング システム

次の表は、現在一般提供にリリースされているルールに対してサポートされているオペレーティング システムの一覧です。 ルールは、この表のアルファベット順に一覧表示されます。

注:

特に指定がない限り、最小Windows 10ビルドはバージョン 1709 (RS3、ビルド 16299) 以降です。最小 Windows Server ビルドはバージョン 1809 以降です。

Windows Server 2012 R2 およびWindows Server 2016の攻撃面の縮小ルールは、最新の統合ソリューション パッケージを使用してオンボードされたデバイスで使用できます。 詳細については、「最新の統合ソリューションの新しいWindows Server 2012 R2 および 2016 機能」を参照してください。

ルール名 Windows 11
and
Windows 10
Windows Server
2022
and
Windows Server
2019
Windows Server Windows Server
2016 [1, 2]
Windows Server
2012 R2 [1, 2]
悪用された脆弱な署名付きドライバーの悪用をブロックする Y Y Y
バージョン 1803 (半期エンタープライズ チャネル) 以降
Y Y
Adobe Reader による子プロセスの作成をブロックする Y
バージョン 1809 以降 [3]
Y Y Y Y
すべての Office アプリケーションが子プロセスを作成できないようにブロックする Y Y Y Y Y
Windows ローカル セキュリティ機関サブシステムからの資格情報の盗用をブロックする (lsass.exe) Y
バージョン 1803 以降 [3]
Y Y Y Y
電子メール クライアントと Web メールから実行可能なコンテンツをブロックする Y Y Y Y Y
有病率、年齢、または信頼されたリストの条件を満たしていない限り、実行可能ファイルの実行をブロックする Y
バージョン 1803 以降 [3]
Y Y Y Y
難読化される可能性のあるスクリプトの実行をブロックする Y Y Y Y Y
ダウンロードした実行可能コンテンツの起動を JavaScript または VBScript でブロックする Y Y Y N N
Office アプリケーションによる実行可能コンテンツの作成をブロックする Y Y Y Y Y
Office アプリケーションによるコードの他のプロセスへの挿入をブロックする Y Y Y Y Y
Office 通信アプリケーションによる子プロセスの作成をブロックする Y Y Y Y Y
Windows Management Instrumentation (WMI) イベント サブスクリプションを使用して永続化をブロックする Y
バージョン 1903 (ビルド 18362) 以降 [3]
Y Y
バージョン 1903 (ビルド 18362) 以降
N N
PSExec および WMI コマンドからのプロセスの作成をブロックする Y
バージョン 1803 以降 [3]
Y Y Y Y
セーフ モードでのマシンの再起動をブロックする (プレビュー) Y Y Y Y Y
USB から実行される信頼されていないプロセスと署名されていないプロセスをブロックする Y Y Y Y Y
コピーまたは偽装されたシステム ツールの使用をブロックする (プレビュー) Y Y Y Y Y
サーバーの Web シェル作成をブロックする N Y
Exchange ロールのみ
Y
Exchange ロールのみ
Y
Exchange ロールのみ
Y
Exchange ロールのみ
Office マクロからの Win32 API 呼び出しをブロックする Y N N N N
ランサムウェアに対する高度な保護を使用する Y
バージョン 1803 以降 [3]
Y Y Y Y

(1) Windows Server 2012と 2016 の最新の統合ソリューションを指します。 詳細については、「 Defender for Endpoint サービスへの Windows サーバーのオンボード」を参照してください。

(2) Windows Server 2016および Windows Server 2012 R2 の場合、Microsoft Endpoint Configuration Managerの最小必須バージョンはバージョン 2111 です。

(3) バージョンとビルド番号は、Windows 10にのみ適用されます。

ASR ルールでサポートされている構成管理システム

この表で参照されている構成管理システムのバージョンに関する情報へのリンクを次の表に示します。

ルール名 Microsoft Intune Microsoft Endpoint Configuration Manager グループ ポリシー[1] PowerShell[1]
悪用された脆弱な署名付きドライバーの悪用をブロックする Y Y Y
Adobe Reader による子プロセスの作成をブロックする Y Y Y
すべての Office アプリケーションが子プロセスを作成できないようにブロックする Y Y

CB 1710
Y Y
Windows ローカル セキュリティ機関サブシステムからの資格情報の盗用をブロックする (lsass.exe) Y Y

CB 1802
Y Y
電子メール クライアントと Web メールから実行可能なコンテンツをブロックする Y Y

CB 1710
Y Y
有病率、年齢、または信頼されたリストの条件を満たしていない限り、実行可能ファイルの実行をブロックする Y Y

CB 1802
Y Y
難読化される可能性のあるスクリプトの実行をブロックする Y Y

CB 1710
Y Y
ダウンロードした実行可能コンテンツの起動を JavaScript または VBScript でブロックする Y Y

CB 1710
Y Y
Office アプリケーションによる実行可能コンテンツの作成をブロックする Y Y

CB 1710
Y Y
Office アプリケーションによるコードの他のプロセスへの挿入をブロックする Y Y

CB 1710
Y Y
Office 通信アプリケーションによる子プロセスの作成をブロックする Y Y

CB 1710
Y Y
WMI イベント サブスクリプションを使用して永続化をブロックする Y Y Y
PSExec および WMI コマンドからのプロセスの作成をブロックする Y Y Y
セーフ モードでのマシンの再起動をブロックする (プレビュー) Y Y Y
USB から実行される信頼されていないプロセスと署名されていないプロセスをブロックする Y Y

CB 1802
Y Y
コピーまたは偽装されたシステム ツールの使用をブロックする (プレビュー) Y Y Y
サーバーの Web シェル作成をブロックする Y Y Y
Office マクロからの Win32 API 呼び出しをブロックする Y Y

CB 1710
Y Y
ランサムウェアに対する高度な保護を使用する Y Y

CB 1802
Y Y

(1) 任意のルールの GUID を使用して、ルールごとに攻撃面の縮小ルールを構成できます。

ASR ルールごとのアラートと通知の詳細

トースト通知は、ブロック モードのすべてのルールに対して生成されます。 他のモードのルールでは、トースト通知は生成されません。

"Rule State" が指定されたルールの場合:

  • ASR 規則、規則の状態組み合わせの ASR 規則は、クラウド ブロック レベルの高レベルのデバイスに対してのみ、Microsoft Defender for Endpointのアラート (トースト通知) を表示するために使用されます。 クラウド ブロック レベルが高くないデバイスでは、 <ASR ルール、ルールの状態> 組み合わせに関するアラートは生成されません
  • EDR アラートは、クラウド ブロック レベルの High+ のデバイスに対して、指定した状態の ASR ルールに対して生成されます
ルール名: ルールの状態: EDR でアラートを生成しますか?
(はい |いいえ)
トースト通知を生成しますか?
(はい |いいえ)
クラウド ブロック レベルの High+ のデバイスに対してのみ [ブロック モードのみ] でクラウド ブロック レベルの [高] のデバイスに対してのみ
悪用された脆弱な署名付きドライバーの悪用をブロックする N Y
Adobe Reader による子プロセスの作成をブロックする ブロック Y Y
すべての Office アプリケーションが子プロセスを作成できないようにブロックする N Y
Windows ローカル セキュリティ機関サブシステムからの資格情報の盗用をブロックする (lsass.exe) N Y
電子メール クライアントと Web メールから実行可能なコンテンツをブロックする Y Y
有病率、年齢、または信頼されたリストの条件を満たしていない限り、実行可能ファイルの実行をブロックする N Y
難読化される可能性のあるスクリプトの実行をブロックする 監査 |ブロック Y |Y N |Y
ダウンロードした実行可能コンテンツの起動を JavaScript または VBScript でブロックする ブロック Y Y
Office アプリケーションによる実行可能コンテンツの作成をブロックする N Y
Office アプリケーションによるコードの他のプロセスへの挿入をブロックする N Y
Office 通信アプリケーションによる子プロセスの作成をブロックする N Y
WMI イベント サブスクリプションを使用して永続化をブロックする 監査 |ブロック Y |Y N |Y
PSExec および WMI コマンドからのプロセスの作成をブロックする N Y
セーフ モードでのマシンの再起動をブロックする (プレビュー) N N
USB から実行される信頼されていないプロセスと署名されていないプロセスをブロックする 監査 |ブロック Y |Y N |Y
コピーまたは偽装されたシステム ツールの使用をブロックする (プレビュー) N N
サーバーの Web シェル作成をブロックする N N
Office マクロからの Win32 API 呼び出しをブロックする N Y
ランサムウェアに対する高度な保護を使用する 監査 |ブロック Y |Y N |Y

GUID マトリックスへの ASR 規則

[ルール名] ルール GUID
悪用された脆弱な署名付きドライバーの悪用をブロックする 56a863a9-875e-4185-98a7-b882c64b5ce5
Adobe Reader による子プロセスの作成をブロックする 7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c
すべての Office アプリケーションが子プロセスを作成できないようにブロックする d4f940ab-401b-4efc-aadc-ad5f3c50688a
Windows ローカル セキュリティ機関サブシステムからの資格情報の盗用をブロックする (lsass.exe) 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2
電子メール クライアントと Web メールから実行可能なコンテンツをブロックする be9ba2d9-53ea-4cdc-84e5-9b1eeee46550
有病率、年齢、または信頼されたリストの条件を満たしていない限り、実行可能ファイルの実行をブロックする 01443614-cd74-433a-b99e-2ecdc07bfc25
難読化される可能性のあるスクリプトの実行をブロックする 5beb7efe-fd9a-4556-801d-275e5ffc04cc
ダウンロードした実行可能コンテンツの起動を JavaScript または VBScript でブロックする d3e037e1-3eb8-44c8-a917-57927947596d
Office アプリケーションによる実行可能コンテンツの作成をブロックする 3b576869-a4ec-4529-8536-b80a7769e899
Office アプリケーションによるコードの他のプロセスへの挿入をブロックする 75668c1f-73b5-4cf0-bb93-3ecf5cb7cc84
Office 通信アプリケーションによる子プロセスの作成をブロックする 26190899-1602-49e8-8b27-eb1d0a1ce869
WMI イベント サブスクリプションを使用して永続化をブロックする
* ファイルとフォルダーの除外はサポートされていません。
e6db77e5-3df2-4cf1-b95a-636979351e5b
PSExec および WMI コマンドからのプロセスの作成をブロックする d1e49aac-8f56-4280-b9ba-993a6d77406c
セーフ モードでのマシンの再起動をブロックする (プレビュー) 33ddedf1-c6e0-47cb-833e-de6133960387
USB から実行される信頼されていないプロセスと署名されていないプロセスをブロックする b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4
コピーまたは偽装されたシステム ツールの使用をブロックする (プレビュー) c0033c00-d16d-4114-a5a0-dc9b3a7d2ceb
サーバーの Web シェル作成をブロックする a8f5898e-1dc8-49a9-9878-85004b8a61e6
Office マクロからの Win32 API 呼び出しをブロックする 92e97fa1-2edf-4476-bdd6-9dd0b4dddc7b
ランサムウェアに対する高度な保護を使用する c1db55ab-c21a-4637-bb3f-a12568109d35

ASR ルール モード

  • [未構成] または [無効] : ASR ルールが有効になっていないか無効になっている状態。 この状態のコード = 0。
  • ブロック: ASR ルールが有効になっている状態。 この状態のコードは 1 です。
  • 監査: ASR ルールが有効になっている場合にorganizationまたは環境に与える影響について評価される状態 (ブロックまたは警告に設定)。 この状態のコードは 2 です。
  • 警告する ASR ルールが有効になっており、エンド ユーザーに通知を表示するが、エンド ユーザーがブロックをバイパスできるようにする状態。 この状態のコードは 6 です。

警告モード は、リスクの高いアクションについてユーザーに警告するブロック モードの種類です。 ユーザーは、ブロック警告メッセージをバイパスし、基になるアクションを許可することを選択できます。 ユーザーは[OK] を選択してブロックを適用するか、ブロックの 時点で生成されるエンド ユーザー ポップアップ トースト通知を使用して [ブロック解除] オプションを選択できます。 警告のブロックが解除された後、次に警告メッセージが発生するまで操作が許可されます。この時点で、エンド ユーザーはアクションを再パフォーマンスする必要があります。

許可ボタンをクリックすると、ブロックは 24 時間抑制されます。 24 時間後、エンド ユーザーはブロックを再度許可する必要があります。 ASR ルールの警告モードは、RS5+ (1809 以降) デバイスでのみサポートされます。 古いバージョンのデバイスでバイパスが ASR ルールに割り当てられている場合、ルールはブロック モードになります。

また、AttackSurfaceReductionRules_Actionsを "Warn" として指定することで、PowerShell を使用して警告モードでルールを設定することもできます。 以下に例を示します。

Add-MpPreference -AttackSurfaceReductionRules_Ids 56a863a9-875e-4185-98a7-b882c64b5ce5 -AttackSurfaceReductionRules_Actions Warn

ルールごとの説明

悪用された脆弱な署名付きドライバーの悪用をブロックする

この規則は、アプリケーションが脆弱な署名されたドライバーをディスクに書き込むのを防ぎます。 脆弱な脆弱な署名付きドライバーは、カーネルへのアクセスを得るために、 十分な特権を持つ ローカル アプリケーションによって悪用される可能性があります。 脆弱な署名されたドライバーを使用すると、攻撃者はセキュリティ ソリューションを無効または回避し、最終的にシステムの侵害につながります。

[悪用された脆弱な署名されたドライバーの悪用をブロックする] 規則は、システム上に既に存在するドライバーが読み込まれるのをブロックしません。

注:

この規則は、Intune OMA-URI を使用して構成できます。 カスタム 規則の構成については、「Intune OMA-URI」を参照してください。

この規則は 、PowerShell を使用して構成することもできます。

ドライバーを調べるには、この Web サイトを使用して 分析用のドライバーを送信します。

Intune名:Block abuse of exploited vulnerable signed drivers

Configuration Manager名: まだ使用できません

GUID: 56a863a9-875e-4185-98a7-b882c64b5ce5

高度なハンティング アクションの種類:

  • AsrVulnerableSignedDriverAudited
  • AsrVulnerableSignedDriverBlocked

Adobe Reader による子プロセスの作成をブロックする

このルールは、Adobe Reader によるプロセスの作成をブロックすることで、攻撃を防ぎます。

マルウェアは、ペイロードをダウンロードして起動し、ソーシャル エンジニアリングや悪用を通じて Adobe Reader から抜け出すことができます。 Adobe Reader によって子プロセスが生成されないようにすることで、攻撃ベクトルとして Adobe Reader を使用しようとするマルウェアが拡散するのを防ぎます。

Intune名:Process creation from Adobe Reader (beta)

Configuration Manager名: まだ使用できません

GUID: 7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c

高度なハンティング アクションの種類:

  • AsrAdobeReaderChildProcessAudited
  • AsrAdobeReaderChildProcessBlocked

依存関係: Microsoft Defender ウイルス対策

すべての Office アプリケーションが子プロセスを作成できないようにブロックする

このルールは、Office アプリによる子プロセスの作成をブロックします。 Office アプリには、Word、Excel、PowerPoint、OneNote、Access が含まれます。

悪意のある子プロセスの作成は、一般的なマルウェア戦略です。 ベクターとして Office を悪用するマルウェアは、多くの場合、VBA マクロを実行し、コードを悪用して、より多くのペイロードをダウンロードして実行しようとします。 ただし、一部の正当な基幹業務アプリケーションでは、問題のない目的で子プロセスが生成される場合もあります。コマンド プロンプトを生成したり、PowerShell を使用してレジストリ設定を構成したりします。

Intune名:Office apps launching child processes

Configuration Manager名:Block Office application from creating child processes

GUID: d4f940ab-401b-4efc-aadc-ad5f3c50688a

高度なハンティング アクションの種類:

  • AsrOfficeChildProcessAudited
  • AsrOfficeChildProcessBlocked

依存関係: Microsoft Defender ウイルス対策

Windows ローカル セキュリティ機関サブシステムからの資格情報の盗み取りをブロックする

注:

LSA 保護が有効になっていて、Credential Guard が有効になっている場合、この攻撃面の縮小規則は必要ありません。

この規則は、ローカル セキュリティ機関サブシステム サービス (LSASS) をロックダウンすることで、資格情報の盗難を防ぐのに役立ちます。

LSASS は、Windows コンピューターにサインインするユーザーを認証します。 Windows Microsoft Defender Credential Guard は、通常、LSASS から資格情報を抽出しようとすることを防ぎます。 一部の組織では、ローカル セキュリティ機関 (LSA) に読み込まれるカスタム スマートカード ドライバーやその他のプログラムとの互換性の問題のため、すべてのコンピューターで Credential Guard を有効にできません。 このような場合、攻撃者は Mimikatz などのツールを使用して、LSASS からクリアテキスト パスワードと NTLM ハッシュをスクレイピングできます。

既定では、このルールの状態はブロックに設定されています。 ほとんどの場合、多くのプロセスは、必要のないアクセス権のために LSASS を呼び出します。 たとえば、ASR ルールの最初のブロックで後続の呼び出しが実行され、その後成功する特権が小さい場合などです。 LSASS へのプロセス呼び出しで通常要求される権限の種類については、「 プロセス セキュリティとアクセス権」を参照してください。

ASR 規則と LSA 保護が同様に機能するため、LSA 保護が有効になっている場合、この規則を有効にしても追加の保護は提供されません。 ただし、LSA 保護を有効にできない場合、この規則は、 lsass.exeを対象とするマルウェアに対して同等の保護を提供するように構成できます。

注:

このシナリオでは、ASR ルールは、Microsoft Defender ポータルの Defender for Endpoint 設定で "適用不可" として分類されます。

Windows ローカル セキュリティ機関サブシステム ASR 規則からの資格情報の盗み取りをブロックする規則では、WARN モードはサポートされていません。

一部のアプリでは、実行中のすべてのプロセスが列挙され、完全なアクセス許可で開こうとします。 このルールは、アプリのプロセスオープン アクションを拒否し、詳細をセキュリティ イベント ログに記録します。 このルールでは、大量のノイズが発生する可能性があります。 LSASS を列挙するだけで、機能に実際の影響がないアプリがある場合は、除外リストに追加する必要はありません。 単独では、このイベント ログ エントリは必ずしも悪意のある脅威を示すわけではありません。

Intune名:Flag credential stealing from the Windows local security authority subsystem

Configuration Manager名:Block credential stealing from the Windows local security authority subsystem

GUID: 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2

高度なハンティング アクションの種類:

  • AsrLsassCredentialTheftAudited
  • AsrLsassCredentialTheftBlocked

依存関係: Microsoft Defender ウイルス対策

電子メール クライアントと Web メールから実行可能なコンテンツをブロックする

この規則は、Microsoft Outlook アプリケーション内で開かれた電子メール、または Outlook.com およびその他の一般的な Web メール プロバイダーが次のファイルの種類を伝達することをブロックします。

  • 実行可能ファイル (.exe、.dll、.scr など)
  • スクリプト ファイル (PowerShell .ps1、Visual Basic .vbs、JavaScript .js ファイルなど)

Intune名:Execution of executable content (exe, dll, ps, js, vbs, etc.) dropped from email (webmail/mail client) (no exceptions)

Microsoft Configuration Manager名:Block executable content from email client and webmail

GUID: be9ba2d9-53ea-4cdc-84e5-9b1eeee46550

高度なハンティング アクションの種類:

  • AsrExecutableEmailContentAudited
  • AsrExecutableEmailContentBlocked

依存関係: Microsoft Defender ウイルス対策

注:

ルール [ 電子メール クライアントと Web メールから実行可能なコンテンツをブロック する] には、使用するアプリケーションに応じて、次の代替の説明があります。

  • Intune (構成プロファイル): 電子メール (webmail/mail クライアント) から削除された実行可能コンテンツ (exe、dll、ps、js、vbs など) の実行 (例外なし)。
  • Configuration Manager: 電子メールおよび Web メール クライアントからの実行可能なコンテンツのダウンロードをブロックします。
  • グループ ポリシー: 電子メール クライアントと webmail から実行可能なコンテンツをブロックします。

有病率、年齢、または信頼されたリストの条件を満たしていない限り、実行可能ファイルの実行をブロックする

このルールは、.exe、.dll、.scr などの実行可能ファイルの起動をブロックします。 したがって、信頼されていない実行可能ファイルまたは不明な実行可能ファイルを起動すると、ファイルが悪意のある場合は最初は明確にならない可能性があるため、危険な場合があります。

重要

この規則を使用するには 、クラウド提供の保護を有効にする 必要があります。

GUID 01443614-cd74-433a-b99e-2ecdc07bfc25が Microsoft によって所有されており、管理者によって指定されていない、普及率、年齢、または信頼されたリスト条件を満たしていない限り、実行可能ファイルの実行をブロックするルール。 この規則では、クラウドによって提供される保護を使用して、信頼されたリストを定期的に更新します。

個々のファイルまたはフォルダー (フォルダー パスまたは完全修飾リソース名を使用) を指定できますが、適用するルールや除外を指定することはできません。

Intune名:Executables that don't meet a prevalence, age, or trusted list criteria

Configuration Manager名:Block executable files from running unless they meet a prevalence, age, or trusted list criteria

GUID: 01443614-cd74-433a-b99e-2ecdc07bfc25

高度なハンティング アクションの種類:

  • AsrUntrustedExecutableAudited
  • AsrUntrustedExecutableBlocked

依存関係: Microsoft Defenderウイルス対策、Cloud Protection

難読化される可能性のあるスクリプトの実行をブロックする

このルールは、難読化されたスクリプト内の疑わしいプロパティを検出します。

重要

PowerShell スクリプトは、"難読化される可能性のあるスクリプトの実行をブロックする" ルールでサポートされるようになりました。

スクリプトの難読化は、マルウェアの作成者と正当なアプリケーションの両方が知的財産を非表示にしたり、スクリプトの読み込み時間を短縮したりするために使用する一般的な手法です。 マルウェアの作成者はまた、難読化を使用して悪意のあるコードの読み取りを困難にし、人間とセキュリティ ソフトウェアによる詳細な調査を妨げる。

Intune名:Obfuscated js/vbs/ps/macro code

Configuration Manager名:Block execution of potentially obfuscated scripts

GUID: 5beb7efe-fd9a-4556-801d-275e5ffc04cc

高度なハンティング アクションの種類:

  • AsrObfuscatedScriptAudited
  • AsrObfuscatedScriptBlocked

依存関係: Microsoft Defenderウイルス対策、マルウェア対策スキャン インターフェイス (AMSI)

ダウンロードした実行可能コンテンツの起動を JavaScript または VBScript でブロックする

このルールは、スクリプトが悪意のあるダウンロードされたコンテンツを起動できないようにします。 JavaScript または VBScript で記述されたマルウェアは、多くの場合、インターネットから他のマルウェアをフェッチして起動するためのダウンローダーとして機能します。

一般的ではありませんが、基幹業務アプリケーションではスクリプトを使用してインストーラーをダウンロードして起動することがあります。

Intune名:js/vbs executing payload downloaded from Internet (no exceptions)

Configuration Manager名:Block JavaScript or VBScript from launching downloaded executable content

GUID: d3e037e1-3eb8-44c8-a917-57927947596d

高度なハンティング アクションの種類:

  • AsrScriptExecutableDownloadAudited
  • AsrScriptExecutableDownloadBlocked

依存関係: Microsoft Defender ウイルス対策、AMSI

Office アプリケーションによる実行可能コンテンツの作成をブロックする

この規則により、悪意のあるコードがディスクに書き込まれないようにすることで、Word、Excel、PowerPointなどの Office アプリが悪意のある可能性のある実行可能コンテンツを作成できなくなります。

Office をベクターとして悪用するマルウェアは、Office から抜け出し、悪意のあるコンポーネントをディスクに保存しようとする可能性があります。 これらの悪意のあるコンポーネントは、コンピューターの再起動後も存続し、システムに保持されます。 したがって、この規則は一般的な永続化手法に対して防御します。 この規則では、Office ファイルでの実行が許可されている Office マクロによって保存された可能性がある信頼されていないファイルの実行もブロックされます。

Intune名:Office apps/macros creating executable content

Configuration Manager名:Block Office applications from creating executable content

GUID: 3b576869-a4ec-4529-8536-b80a7769e899

高度なハンティング アクションの種類:

  • AsrExecutableOfficeContentAudited
  • AsrExecutableOfficeContentBlocked

依存関係: Microsoft Defender ウイルス対策、RPC

Office アプリケーションによるコードの他のプロセスへの挿入をブロックする

この規則は、Office アプリから他のプロセスへのコード挿入の試行をブロックします。

注:

アプリケーションが他のプロセスにコードを挿入するのをブロックする ASR ルールでは、WARN モードはサポートされていません。

重要

この規則では、構成の変更を有効にするために、Microsoft 365 Apps (Office アプリケーション) を再起動する必要があります。

攻撃者は Office アプリを使用して、コードインジェクションを通じて悪意のあるコードを他のプロセスに移行しようとする可能性があるため、コードはクリーンプロセスとして偽装できます。

コード インジェクションを使用するための既知の正当なビジネス目的はありません。

この規則は、Word、Excel、OneNote、およびPowerPointに適用されます。

Intune名:Office apps injecting code into other processes (no exceptions)

Configuration Manager名:Block Office applications from injecting code into other processes

GUID: 75668c1f-73b5-4cf0-bb93-3ecf5cb7cc84

高度なハンティング アクションの種類:

  • AsrOfficeProcessInjectionAudited
  • AsrOfficeProcessInjectionBlocked

依存関係: Microsoft Defender ウイルス対策

Office 通信アプリケーションによる子プロセスの作成をブロックする

このルールにより、Outlook で子プロセスが作成されるのを防ぎ、正当な Outlook 機能を引き続き許可します。

このルールは、ソーシャル エンジニアリング攻撃から保護し、Outlook の脆弱性を悪用するコードの悪用を防ぎます。 また、ユーザーの資格情報が侵害されたときに攻撃者が使用できる Outlook のルールやフォームの悪用 からも保護されます。

注:

このルールは、Outlook の DLP ポリシーヒントとツールヒントをブロックします。 このルールは Outlook と Outlook.com にのみ適用されます。

Intune名:Process creation from Office communication products (beta)

Configuration Manager名: 使用できません

GUID: 26190899-1602-49e8-8b27-eb1d0a1ce869

高度なハンティング アクションの種類:

  • AsrOfficeCommAppChildProcessAudited
  • AsrOfficeCommAppChildProcessBlocked

依存関係: Microsoft Defender ウイルス対策

WMI イベント サブスクリプションを使用して永続化をブロックする

この規則により、マルウェアが WMI を悪用してデバイスでの永続性を獲得するのを防ぎます。

重要

ファイルとフォルダーの除外は、この攻撃面の縮小ルールには適用されません。

ファイルレス脅威は、さまざまな戦術を採用して潜伏し、ファイル システムに見つからないようにして、定期的に実行制御を獲得します。 脅威の中には、WMI リポジトリとイベント モデルを悪用して、潜伏できるものがあります。

注:

デバイスでCcmExec.exe (SCCM エージェント) が検出された場合、ASR ルールは、Microsoft Defender ポータルの Defender for Endpoint 設定で "適用不可" として分類されます。

Intune名:Persistence through WMI event subscription

Configuration Manager名: 使用できません

GUID: e6db77e5-3df2-4cf1-b95a-636979351e5b

高度なハンティング アクションの種類:

  • AsrPersistenceThroughWmiAudited
  • AsrPersistenceThroughWmiBlocked

依存関係: Microsoft Defender ウイルス対策、RPC

PSExec および WMI コマンドからのプロセスの作成をブロックする

このルールは、 PsExecWMI を介して作成されたプロセスの実行をブロックします。 PsExec と WMI の両方で、コードをリモートで実行できます。 コマンドと制御の目的で PsExec と WMI の機能を悪用したり、organizationのネットワーク全体に感染を広めたりするマルウェアのリスクがあります。

警告

この規則は、Intuneまたは別の MDM ソリューションを使用してデバイスを管理している場合にのみ使用します。 この規則は、Configuration Manager クライアントが正しく機能するために使用する WMI コマンドをブロックするため、Microsoft Endpoint Configuration Managerによる管理と互換性がありません。

Intune名:Process creation from PSExec and WMI commands

Configuration Manager名: 適用されません

GUID: d1e49aac-8f56-4280-b9ba-993a6d77406c

高度なハンティング アクションの種類:

  • AsrPsexecWmiChildProcessAudited
  • AsrPsexecWmiChildProcessBlocked

依存関係: Microsoft Defender ウイルス対策

セーフ モードでのマシンの再起動をブロックする (プレビュー)

このルールにより、セーフ モードでマシンを再起動するためのコマンドの実行が禁止されます。

セーフ モードは、Windows の実行に必要な重要なファイルとドライバーのみを読み込む診断モードです。 ただし、セーフ モードでは、多くのセキュリティ製品が無効になっているか、制限された容量で動作します。これにより、攻撃者は改ざんコマンドをさらに起動したり、コンピューター上のすべてのファイルを実行して暗号化したりできます。 このルールは、プロセスがセーフ モードでマシンを再起動できないようにすることで、このような攻撃をブロックします。

注:

この機能は現在プレビュー段階です。 有効性を向上させるための追加のアップグレードが開発中です。

Intune名:[PREVIEW] Block rebooting machine in Safe Mode

Configuration Manager名: まだ使用できません

GUID: 33ddedf1-c6e0-47cb-833e-de6133960387

高度なハンティング アクションの種類:

  • AsrSafeModeRebootedAudited

  • AsrSafeModeRebootBlocked

  • AsrSafeModeRebootWarnBypassed

依存関係: Microsoft Defender ウイルス対策

USB から実行される信頼されていないプロセスと署名されていないプロセスをブロックする

この規則を使用すると、管理者は、署名されていない実行可能ファイルまたは信頼されていない実行可能ファイルが、SD カードを含む USB リムーバブル ドライブから実行されるのを防ぐことができます。 ブロックされたファイルの種類には、実行可能ファイル (.exe、.dll、.scr など) が含まれます

重要

USB からディスク ドライブにコピーされたファイルは、ディスク ドライブ上で実行される場合、この規則によってブロックされます。

Intune名:Untrusted and unsigned processes that run from USB

Configuration Manager名:Block untrusted and unsigned processes that run from USB

GUID: b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4

高度なハンティング アクションの種類:

  • AsrUntrustedUsbProcessAudited
  • AsrUntrustedUsbProcessBlocked

依存関係: Microsoft Defender ウイルス対策

コピーまたは偽装されたシステム ツールの使用をブロックする (プレビュー)

この規則は、Windows システム ツールのコピーとして識別される実行可能ファイルの使用をブロックします。 これらのファイルは、元のシステム ツールの複製または偽装です。

一部の悪意のあるプログラムは、検出を回避したり特権を得たりするために、Windows システム ツールをコピーまたは偽装しようとする可能性があります。 このような実行可能ファイルを許可すると、潜在的な攻撃につながる可能性があります。 この規則は、Windows マシン上のシステム ツールのこのような重複や詐欺の伝達と実行を防ぎます。

注:

この機能は現在プレビュー段階です。 有効性を向上させるための追加のアップグレードが開発中です。

Intune名:[PREVIEW] Block use of copied or impersonated system tools

Configuration Manager名: まだ使用できません

GUID: c0033c00-d16d-4114-a5a0-dc9b3a7d2ceb

高度なハンティング アクションの種類:

  • AsrAbusedSystemToolAudited

  • AsrAbusedSystemToolBlocked

  • AsrAbusedSystemToolWarnBypassed

依存関係: Microsoft Defender ウイルス対策

サーバーの Web シェル作成をブロックする

このルールは、Microsoft Server、Exchange ロールでの Web シェル スクリプトの作成をブロックします。

Web シェル スクリプトは、攻撃者が侵害されたサーバーを制御できるようにする、特別に細工されたスクリプトです。 Web シェルには、悪意のあるコマンドの受信と実行、悪意のあるファイルのダウンロードと実行、資格情報と機密情報の盗み取りと流出、潜在的なターゲットの特定などの機能が含まれる場合があります。

Intune名:Block Webshell creation for Servers

GUID: a8f5898e-1dc8-49a9-9878-85004b8a61e6

依存関係: Microsoft Defender ウイルス対策

Office マクロからの Win32 API 呼び出しをブロックする

この規則では、VBA マクロが Win32 API を呼び出さないようにします。

Office VBA では、Win32 API 呼び出しが有効になります。 マルウェアは、 Win32 API を呼び出して 、ディスクに直接何も書き込まずに悪意のあるシェルコードを起動するなど、この機能を悪用する可能性があります。 ほとんどの組織は、他の方法でマクロを使用する場合でも、日常的に機能する Win32 API を呼び出す機能に依存していません。

Intune名:Win32 imports from Office macro code

Configuration Manager名:Block Win32 API calls from Office macros

GUID: 92e97fa1-2edf-4476-bdd6-9dd0b4dddc7b

高度なハンティング アクションの種類:

  • AsrOfficeMacroWin32ApiCallsAudited
  • AsrOfficeMacroWin32ApiCallsBlocked

依存関係: Microsoft Defender ウイルス対策、AMSI

ランサムウェアに対する高度な保護を使用する

このルールは、ランサムウェアに対する保護の追加レイヤーを提供します。 クライアントとクラウドのヒューリスティックの両方を使用して、ファイルがランサムウェアに似ているかどうかを判断します。 この規則では、次の特性の 1 つ以上のファイルはブロックされません。

  • ファイルは既に Microsoft クラウドで無傷であることが判明しています。
  • ファイルは有効な署名済みファイルです。
  • ファイルはランサムウェアと見なされないほど一般的です。

このルールは、ランサムウェアを防ぐための注意の側で誤る傾向があります。

注:

この規則を使用するには 、クラウド提供の保護を有効にする 必要があります。

Intune名:Advanced ransomware protection

Configuration Manager名:Use advanced protection against ransomware

GUID: c1db55ab-c21a-4637-bb3f-a12568109d35

高度なハンティング アクションの種類:

  • AsrRansomwareAudited
  • AsrRansomwareBlocked

依存関係: Microsoft Defenderウイルス対策、Cloud Protection

関連項目

ヒント

さらに多くの情報を得るには、 Tech Community 内の Microsoft Security コミュニティ (Microsoft Defender for Endpoint Tech Community) にご参加ください。